Kyberzločinci teraz používajú servery Plex Media na zosilnenie DDoS útokov

Nový vektor distribuovaného útoku odmietnutia služby (DDoS) zachytil systémy Plex Media Server, aby zosilnil škodlivú premávku proti cieľom a odpojil ich.

„Spúšťacie procesy Plexu neúmyselne vystavujú odpoveď na registráciu služby Plex UPnP všeobecnému internetu, kde ju možno zneužiť na generovanie reflexných/zosilňujúcich DDoS útokov,“ uviedli výskumníci Netscout vo štvrtkovom upozornení.

Plex Media Server je osobná mediálna knižnica a streamovací systém, ktorý beží na modernom Windows, macOS a operačné systémy Linux, ako aj varianty prispôsobené pre špeciálne platformy, ako sú zariadenia NAS (Network Attached Storage) a prehrávače digitálnych médií. Aplikácia pre stolné počítače organizuje video, zvuk a fotografie z knižnice používateľa az online služieb, čím umožňuje prístup k obsahu a streamovanie obsahu do iných kompatibilných zariadení.

Útoky DDoS zvyčajne zahŕňajú zaplavenie legitímneho cieľa nevyžiadanou sieťovou prevádzkou, ktorá pochádza z veľkého počtu zariadení, ktoré boli začlenené do botnetu, čo efektívne spôsobuje vyčerpanie šírky pásma a vedie k významným prerušeniam služieb.

K útoku zosilnenia DDoS dochádza, keď útočník odošle na server tretej strany množstvo špeciálne vytvorených požiadaviek, ktoré spôsobia, že server obeti odpovie veľkými odpoveďami. Robí sa to sfalšovaním zdrojovej IP adresy, aby sa javila ako obeť a nie útočník, čo vedie k prenosu, ktorý zahltí zdroje obete.

Keď teda tretie strany odpovedia na požiadavku útočníka, odpovede sa smerujú na cieľový server, a nie na zariadenie útočníka, ktoré požiadavku odoslalo.

Teraz podľa Netscout služby DDoS-for-hire vyzbrojujú servery Plex Media Server, aby posilnili svoju útočnú infraštruktúru a poskytujú priemerný faktor zosilnenia približne 4.68.

Plex využíva protokol SSDP (Simple Service Discovery Protocol) na skenovanie iných mediálnych zariadení a streamingových klientov, čo však vedie k problému, keď sonda nájde smerovač širokopásmového prístupu na internet s povoleným SSDP a v tomto procese odhalí registráciu služby Plex. respondent priamo na internete na porte UDP 32414.

Čo je ešte horšie, spoločnosť zaoberajúca sa kybernetickou bezpečnosťou uviedla, že k dnešnému dňu identifikovala na internete približne 27 000 zneužiteľných serverov.

“Kolaterálny dopad útokov na odraz/zosilnenie PMSSDP je potenciálne významný pre prevádzkovateľov širokopásmového prístupu k internetu, ktorých zákazníci neúmyselne vystavili reflektory/zosilňovače PMSSDP na Internete,” uviedli výskumníci spoločnosti Netscout Roland Dobbins a Steinthor Bjarnason.

“Môže to zahŕňať čiastočné alebo úplné prerušenie širokopásmového prístupu na internet koncovým zákazníkom, ako aj ďalšie prerušenie služby v dôsledku spotreby kapacity prístupu/distribúcie/agregácie/jadra/peeringu/tranzitného spojenia.”

Netscout odporúča sieťovým operátorom, aby filtrovali prevádzku smerujúcu na UDP/32414 a deaktivovali SSDP na zariadení na širokopásmový prístup k internetu dodávaným operátorom, aby sa útok zmiernil.

Tento vývoj prichádza po tom, čo to Netscout začiatkom tohto mesiaca oznámil Windows Servery Remote Desktop Protocol (RDP) zneužívajú služby DDoS na prenájom ako odraz/zosilnenie vektora DDoS.